Red Hat Linux 7.1: Official Red Hat Linux Reference Guide | ||
---|---|---|
Anterior | Capítulo 9. Uso de Kerberos 5 en Red Hat Linux | Siguiente |
Ahora que ya conoce algunos de los términos que utiliza Kerberos, aquí tiene una explicación del funcionamiento del sistema de autentificación Kerberos:
En una red "normal" que usa contraseñas para autentificar usuarios, cuando un usuario demanda un servicio de la red que requiere autentificación, el usuario tiene que teclear su contraseña. Su contraseña es trasmitida en texto sin retocar y se concede el acceso a un servicio de la red.
El principal problema para Kerberos consiste en cómo usar contraseñas para autentificarlas sin enviarlas a la red. En una red kerberizada, la base de datos de Kerberos contiene su claves (para los usuarios, sus claves derivan de sus contraseñas). La base de datos Kerberos también contiene claves para todos los servicios de la red.
Cuando un usuario en una red kerberizada se registra en su estación de trabajo, su principal se envía al Key Distribution Center (KDC) como una demanda para un Ticket Granting Ticket (TGT). Esta demanda puede ser enviada por el programa login (para que sea transparente al usuario) o puede ser enviada por el programa kinit después de que el usuario se registre.
El KDC verifica el principal en su base de datos. Si lo encuentra, el KDC crea un TGT, lo encripta usando las claves del usuario y lo devuelve al usuario.
El programa login o kinit desencripta el TGP usando las claves del usuario. El TGT, que caduca después de un cierto período de tiempo, es almacenado en su caché de credenciales. Sólo se puede usar un cierto períiodo de tiempo que suele ser de ocho horas (a diferencia de una contraseña comprometida, que puede ser usada hasta que se cambie). El usuario no tiene que introducir su contraseña otra vez hasta que el TGT caduca o se desconecta y vuelve a conectarse.
Cuando el usuario necesita acceder a un servicio de red, el cliente usa el TGT para pedir un ticket para el servicio de Ticket Granting Service (TGS), que se ejecuta en el KDC. El TGS emite un ticket por el servicio deseado, que se usa para autentificar el usuario.
Como es de suponer la explicación es demasiado simplificada. Si necesita una explicación más detallada sobre el funcionamiento de kerberos, vea la la sección de nombre Recursos adicionales.
Nota | |
---|---|
Kerberos depende de ciertos servicios de la red para trabajar correctamente. Primero, Kerberos necesita una sicronización de reloj entre los ordenadores y su red. Si no ha configurado un programa de sincronización de reloj para su red, deberá hacerlo. Ya que ciertos aspectos de kerberos se apoyan en el Domain Name System (DNS), debe de asegurarse de que las entradas DNS y los hosts en su red están configuradas correctamente. Vea la Guía del administrador kerberos V5, proporcionada en formatos PostScript y HTML, en /usr/share/doc/krb5-server-versionnumber/, si necesita más información sobre estos temas. |